Une vulnérabilité a été trouvé dans Tenda AC7 15.03.06.44 et classée critique. L'élément concerné est la fonction formSetPPTPServer du fichier /goform/SetPptpServerCfg. La manipulation du paramètre pptp_server_start_ip/pptp_server_end_ip avec une valeur d'entrée inconnue mène à une vulnérabilité de classe buffer overflow. L'utilisation de CWE pour déclarer le problème conduit à CWE-120. L’annonce de la faiblesse a eu lieu le 06/04/2025. La notice d'information est disponible en téléchargement sur github.com. Cette vulnérabilité a été nommée CVE-2025-3346. L'attaque peut être initialisée à distance. Des details techniques sont connus. Par ailleurs, un exploit est disponible. L'exploit a été publié et il est possible qu'il soit utilisé. À l'heure actuelle, le prix d'un exploit pourrait être approximativement de USD $0-$5k. Ceci est déclaré comme preuve de concept. Le code d'exploitation peut être téléchargé à l'adresse suivante : github.com. Comme 0-day, le prix estimé sur le marché clandestin était autour de $0-$5k. If you want to get best quality of vulnerability data, you may have to visit VulDB.

2 Changements · 88 Points de données